โลกาวินาศแบบย่อมๆ เรียกค่าไถ่ไซเบอร์ จับไฟล์เป็นตัวประกัน แนะวิธีป้องกัน-แก้ไข จาก WannaCry

เหตุการณ์เรียกค่าไถ่ไซเบอร์ จับคอมฯมาเรียกค่าไถ่ จับไฟล์เป็นตัวประกัน เริ่มออกอาละวาดหนักจากฝั่งยุโรปตั้งแต่บ่ายวันศุกร์ที่ผ่านมา (หรือศุกร์หัวค่ำๆ เวลาประเทศไทย) ทำให้ระบบคอมของโรงพยาบาลเครือ NHS และหน่วยงานสุขภาพของอังกฤษกับสกอตแลนด์เป็นง่อย จนต้องสั่งให้รถพยาบาลเปลี่ยนเส้นทางไปหาโรงพยาบาลอื่นที่ใกล้เคียงแทน คนไข้ที่ไม่สาหัสก็ถูกขอร้องให้รอก่อน อย่าเพิ่งมาใช้บริการ เจ้าหน้าที่ต้องใช้ปากกากับกระดาษทำงานแทนคอมพิวเตอร์ที่โดนล็อกไฟล์ เรียกว่าเป็นวันโลกาวินาศแบบย่อมๆ ของระบบสุขภาพอังกฤษก็ว่าได้ มัลแวร์ WannaCry คืออะไร ถ้าไม่จ่ายค่าไถ่จะได้มั้ย แล้วจะป้องกันยังไง

ขณะนี้มัลแวร์เรียกค่าไถ่ เรียกได้หลายชื่อ เช่น WannaCry, Wcry, WannaCrypt หรือ WannaCryptor กำลังระบาดหนักทั่วโลก มีคอมพิวเตอร์โดนแฮคเกอร์สายดาร์กโจมตีไปแล้วกว่า 200,000 เครื่องใน 150 ประเทศภายในเวลาเพียง 3 วันเท่านั้น งานนี้หน่วยงานด้านความปลอดภัยของยุโรป (Europol) ถึงกับเหงื่อตก ยอมรับว่าเป็นภัยคุกคามทางไซเบอร์ที่ร้ายแรงแบบไม่เคยเห็นกันมาก่อน โดยโจมตียังผู้ใช้ระบบปฏิบัติการ Windows เช่น Windows XP หรือแม้แต่ Windows7 Windows8 Windows10 ก็ไม่รอด ทำให้มีความเสี่ยงสูงที่จะโดนไวรัสและมัลแวร์ต่างๆ เล่นงาน เพราะผู้ใช้จำนวนมากขาดการอัพเดทระบบความปลอดภัยใหม่ๆ พอมันไปติดที่เครื่องแล้ว ก็จะเริ่มจัดการเข้ารหัสไฟล์ต่างๆในเครื่อง เหมือนจับไฟล์ใส่กล่องล็อกกุญแจไว้ ถ้าเจ้าของเครื่องอยากได้ไฟล์สำคัญคืน ก็ต้องยอมจ่ายค่าไถ่ด้วยสกุลเงิน bitcoin ตามเลขบัญชีที่มันให้มา

มัลแวร์ตัวนี้จัดอยู่ในตระกูลเรียกค่าไถ่ ที่เรียกว่า Ransomware เคยเป็นข่าวเมื่อ 2 ปีก่อน หวังขโมยข้อมูลเรียกค่าไถ่ แตกต่างจาก Virus มักทำลาย Software หรือ Hardware
Malware ไม่มุ่งทำร้ายอย่างเด็ดขาดเหมือน Virus แต่จะเน้นขโมย เฝ้าดูข้อมูลผู้ใช้เพื่อหวังผลประโยชน์ หรือ ก็ทำตัวเป็นไวรัสก็ได้ และมีความเป็นไปได้ว่า มัลแวร์ WannaCry หวังจะปั่นค่าเงิน bitcoin ประกาศสงครามการเงินไซเบอร์ กลุ่มอำนาจขั้วโลกอยากให้เป็นเงินตราใหม่ของโลก เพราะเงินปัจจุบันของมันพิมพ์ออกมาอย่างกะเงินกงเต็ก (ด้อยค่าลงเรื่อยๆ) โดยไม่มีอะไรค้ำประกันแม้ตอนนี้ยังไม่มีรายงานการโจมตีในระบบปฏิบัติการอื่นๆ เช่น Macintosh, Unix, Linux อาจเพราะมันคงไม่คุ้มที่จะทำ

ผลกระทบตั้งแต่โรงงานรถยนต์ในอังกฤษและฝรั่งเศส ศาลบราซิล มหาวิทยาลัยในจีนและอิตาลี ระบบโทรคมนาคมในโปรตุเกสและสเปน กระทรวงต่างประเทศรัสเซีย FedEx ของสหรัฐ ทั้งหมด ส่วนในประเทศไทยพบผู้ติดมัลแวร์ตัวนี้อยู่บ้าง แต่ยังไม่พบการแพร่กระจายในวงกว้างแพร่ระบาดและถูกโจมตีในลักษณะเดียวกัน ผู้เชี่ยวชาญด้านความปลอดภัยเริ่มตระหนักว่าโลกนี้กำลังเผชิญหน้ากับภัยคุกคามทางไซเบอร์ครั้งใหญ่ในประวัติศาสตร์

ตอนนี้มันกำลังเริ่มแพร่พันธุ์อย่างต่อเนื่องแล้ว หนทางเดียวที่จะป้องกันตัวเองได้คือ ใครที่ใช้ระบบ Windows ต้องอัพเดทไฟล์แพทช์เพื่ออุดรอยรั่วนี้ หมั่นอัพเดท Windows และโปรแกรม Antivirus ให้เป็นเวอร์ชั่นใหม่ล่าสุดเสมอ เพราะทางไมโครซอฟท์และผู้พัฒนา Antivirus ต่างๆ จะมีการอัพเดทเพื่อป้องกันไวรัสและมัลแวร์ใหม่ๆ อย่างสม่ำเสมอ รวมทั้ง WannaCry นี้ด้วยเช่นกัน

น่ากลัวตรงที่ระบบที่มันไปล็อกรอบนี้ มีทั้งระบบการแพทย์ ระบบขนส่ง ระบบโทรคมนาคมที่มีความสำคัญ เพราะทุกหน่วยงานต้องใช้ระบบ Windows ซะเป็นส่วนใหญ่ เลยเดือดร้อนกันไปทุกหย่อมหญ้า
ถึงขนาดจอโฆษณาแอลอีดีขนาดยักษ์ บนอาคารโรงแรมโซฟิเทล โซ แบงคอก ถนนสาทรตัดกับถนนพระราม 4 และถนนวิทยุ ก็ถูกมัลแวร์ตัวนี้เข้ารหัสจนสกรีนเซิร์ฟเวอร์ปรากฎบนจอเช่นกัน ส่วนสถานีโทรทัศน์บลูสกายแชนแนล คอมพิวเตอร์ที่ใช้ในสำนักงานก็ถูกมัลแวร์ตัวนี้เล่นงาน จนเดี้ยงไปครึ่งสถานี ทีมไอทีแก้ไขทั้งคืน รอไล่ล้างวินโดวส์กันวันต่อวันเมื่อคอมพิวเตอร์ต้นตอเปิดอีเมลที่ไม่รู้จักและเปิดไฟล์แนบ มัลแวร์ตัวนี้ก็จะถูกติดตั้ง จากนั้น หน้าจอจะเปลี่ยนเป็นสีดำ แล้วมีหน้าจอป๊อบอัพสีแดงขึ้นว่า "Ooops, your files have been encypted!" โดยข้อมูลทั้งเอกสาร รูปภาพ วีดีโอ ฐานข้อมูล และไฟล์อื่นๆ จะเปิดไม่ได้ เพราถูกมัลแวร์ตัวนี้ล็อกเอาไว้ แล้วบังคับให้จ่ายเงินเป็นสกุลบิตคอยน์ ประมาณ 300 เหรียญสหรัฐฯ (10,402 บาท) ภายใน 3 วันหากไม่จ่ายภายใน 3 วัน ระบบจะคิดค่าไถ่เพิ่มขึ้นอีกเท่าตัว และถ้าไม่จ่ายภายใน 7 วัน ไฟล์ที่มีอยู่ในเครื่องทั้งหมดก็จะถูกลบทิ้งที่น่าเป็นห่วงก็คือ หากคอมพิวเตอร์ที่อยู่ในสำนักงาน เชื่อมต่อผ่านเครือข่าย เช่น LANเครื่องที่ถูกมัลแวร์มันจะแพร่กระจายไปยังเครื่องอื่นในเครือข่าย แบบหนอนไวรัส เผื่อแผ่ความเดือดร้อนไปยังผู้อื่น รวมทั้งหากเราเก็บไฟล์ไว้บนระบบคลาวด์อย่าง Google Drive หรือ Skydrive แล้วเชื่อมต่อกับคอมพิวเตอร์ ก็จะโดนเข้ารหัสในคอมพิวเตอร์ แล้วก็เชื่อมต่อ (Sync) ไปทับโดนเข้ารหัสในระบบคลาวด์ด้วย
ที่ผ่านมา กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ประชาสัมพันธ์ว่า ให้ป้องกันการติดมัลแวร์ โดยไม่เปิดเอกสารแนบอีเมลโดยไม่จำเป็นหากจำเป็นต้องเปิดเอกสารแนบอีเมล ควรตรวจสอบกับผู้ส่งก่อนว่าได้ส่งอีเมลฉบับนั้นมาจริง ที่สำคัญ ถ้ามีอุปกรณ์เก็บข้อมูลภายนอก เช่น แฟลชไดร์ฟ ฮาร์ดดิสก์ ออกจากคอมพิวเตอร์โดยเร็วที่สุด หากนำกลับมาใช้งานต้องตรวจสอบก่อน และให้ติดต่อเจ้าหน้าที่ IT ของหน่วยงานท่านในทันที

ข้อแนะนำในการป้องกันและแก้ไข
1. สำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ
2. ติดตั้ง/อัปเดตระบบปฎิบัติการให้เป็นรุ่นล่าสุด รวมถึงโปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ โดยเฉพาะโปรแกรมที่มักมีปัญหาเรื่องช่องโหว่อยู่บ่อย ๆ เช่น Java และ Adobe Reader
3. ปิดการใช้งาน SMBv1 หรือในกรณีที่จำเป็นต้องมีการใช้ SMBv1 ให้ติดตั้งSecurity Update MS17-010 จาก Microsoft (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) เพื่อแก้ไขช่องโหว่ SMBv1
4. ทำการบล็อก และเฝ้าระวังการเชื่อมต่อจากเครือข่ายผู้ใช้งานภายนอกกับบริการSMB (Port 137/TCP 138/TCP 139/TCP 445/TCP)
5. หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น
6. ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย หากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือหรือไม่ ให้สอบถามจากผู้ส่งโดยตรง
7. ปัจจุบันสำหรับมัลแวร์ WannaCry 2.0 นี้ยังไม่มีวิธีการแก้ไขให้สามารถกลับมาใช้งานไฟล์ได้ โดยหากพบว่าตนเองได้ติดมัลแวร์ WannaCry ซึ่งเป็นเวอร์ชันก่อนหน้า (เวอร์ชัน 1.0) สามารถดำเนินการตามขั้นตอนในคลิปวีดีโอ https://www.youtube.com/watch?v=wg44hFvsqyE เพื่อดำเนินการถอนการติดตั้งมัลแวร์ และกู้คืนไฟล์ผ่านฟังก์ชันการทำงาน Shadow Volumn Copies ซึ่งสามารถศึกษาได้จากบทความ https://www.thaicert.or.th/papers/general/2015/pa2015ge002.html หัวข้อ "การกู้คืนข้อมูลด้วย Shadow Volume Copies"
8. หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารถประสานกับไทยเซิร์ตได้ทางอีเมล [email protected] หรือโทรศัพท์ 0-2123-1212

มีรายงานว่ามูลค่าที่เพิ่มขึ้นสูงมากของ bitcoinในช่วงนี้ยิ่งปลุกมูลค่ารวมของ "เงินดิจิตอล"ขึ้นไปสู่ระดับ 5 หมื่นล้านเหรียญแล้วจนยิ่งสร้างความกังวลมากขึ้นไปอีกสำหรับปรากฏการณ์ "ฟองสบู่"ในตลาดที่ยังไร้หน่วยงานเข้ามากำกับดูแลสินทรัพย์ประเภทนี้

ราคา bitcoin ทะยานขึ้นมา 55%แล้วในเดือนนี้ และมีราคาแพงกว่า "ทองคำ" โดยได้วิ่งผ่านระดับ 1,900 เหรียญสหรัฐฯไปเรียบร้อยแล้วเมื่อสัปดาห์ที่ผ่านมา (ไฟแนนเชียลไทมส์อ้างอิงข้อมูลจากตลาด Bitfinex)

ประเด็นที่น่าสนใจก็คือ การเก็งกำไร bitcoin ได้ไปสร้างประโยชน์ให้กับระบบการชำระเงินแบบไม่ระบุตัวตนซึ่งกำลังถูกใช้โดยอาชญากรรมไซเบอร์ที่ยกระดับการโจมตีทั่วโลก อย่างกรณี "Ransomware"จนสร้างความเสียหายแก่ระบบคอมพิวเตอร์ของหลายองค์กรอยู่ในตอนนี้

จากการตรวจสอบของสำนักงาน กสทช. ขณะนี้ ยังไม่มีผู้ให้บริการโทรศัพท์เคลื่อนที่ ผู้ให้บริการอินเทอร์เน็ต (ISP) และผู้ให้บริการวงจรสื่อสารระหว่างประเทศ (IIG) ในประเทศไทยรายใด ที่ได้รับผลกระทบจากการโจมตีของมัลแวร์เหมือนในบางประเทศ ที่มัลแวร์เข้าไปในระบบ ทำให้ผู้ให้บริการโทรคมนาคมไม่สามารถคิดค่าบริการ และให้บริการได้

สำหรับการป้องกัน กสทช. ได้สั่งกำชับไปยังผู้ให้บริการทุกราย ให้ตรวจสอบระบบเครือข่ายสารสนเทศ และเตรียมการป้องกันการคุกคามจากจากมัลแวร์ WannaCry ไม่ให้เกิดความกระทบกระเทือนต่อระบบคอมพิวเตอร์ ที่เกี่ยวกับการให้บริการ ไม่ว่าจะเป็น การให้บริการ การคิดค่าโทรศัพท์ ค่าบริการ บริการคลาวด์ เซอร์วิสต่างๆ ที่ให้บริการกับผู้ใช้งาน พร้อมทั้งขอให้ผู้ให้บริการทุกรายเตรียม Call Center เพื่อให้ข้อมูลการป้องกันการโจมตีจากมัลแวร์ WannaCry ให้กับผู้ใช้บริการถามว่าในมือถือ มีหนอนตัวนี้หรือยังจะตอบว่าตอนนี้มือถือยังไม่มีรายงานว่าติดหนอนตัวนี้ครับ
สัมภาษณ์ อ.ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ซีเคียวริตี้ >> คลิกhttp://www.nationtv.tv/main/content/economy-business/378547471/